VMware ESXiのサンドボックスエスケープ脆弱性、ランサムウェア攻撃で悪用される

VMware ESXiの脆弱性、ランサムウェア攻撃で悪用されることをCISAが確認

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、ランサムウェアグループがVMware ESXiの高リスクなサンドボックスエスケープ脆弱性を積極的に悪用していることを確認しました。この脆弱性は、ゼロデイ攻撃でも悪用されていたもので、CISAは水曜日にこの欠陥を既知の悪用された脆弱性（KEV）カタログに追加し、組織が利用可能なパッチを直ちに適用する必要性を強調しました。

CVE-2024-37085の技術的詳細

この脆弱性はCVE-2024-37085（CVSSスコアは未定）として追跡されており、ゲスト仮想マシン（VM）に対する管理者アクセス権を持つ攻撃者がサンドボックスをエスケープし、基盤となるESXiハイパーバイザー上で任意のコードを実行できるようになります。この種のエクスプロイトは、システム全体の侵害、ネットワーク内での横展開、ランサムウェアやその他の悪意あるペイロードの展開につながる重大なリスクをもたらします。

VMwareは、2024年6月のセキュリティアドバイザリで、ESXi、Workstation、Fusion製品における複数の脆弱性に対するパッチをリリースしました。しかし、CISAがCVE-2024-37085をKEVカタログに追加したことは、未パッチのシステムが依然として脅威アクターの主要な標的となっていることを示しています。

影響と脅威の状況

LockBitやBlack Bastaなどの高プロファイルなランサムウェアグループは、エンタープライズおよびクラウドインフラストラクチャで広く利用されているVMware ESXi環境を歴史的に標的としてきました。CVE-2024-37085の悪用は、攻撃者が仮想化プラットフォームに焦点を当てることで影響を最大化しようとする、より広範なトレンドに沿ったものです。

未パッチのESXiサーバーを運用している組織は、以下のリスクにさらされています：

• ハイパーバイザーの完全な侵害：攻撃者がホストされているすべてのVMを制御できるようになります。
• データの暗号化と流出：業務の混乱や財務的損失につながります。
• ネットワーク内での横展開：攻撃の範囲が拡大します。

セキュリティチームへの推奨事項

CISAは、組織に対してCVE-2024-37085のパッチ適用を直ちに優先するよう強く要請しています。さらに、以下の緩和策も推奨されています：

• 重要なVMの隔離：潜在的な被害を制限するため、セキュリティレベルの低い環境から重要なVMを分離します。
• ESXiホスト上の異常な活動の監視：予期しないVMの移行や不正な管理者アクションなどを監視します。
• ネットワークセグメンテーションの実施：潜在的な侵害を封じ込めます。
• VMwareのセキュリティアドバイザリの確認：関連する脆弱性（例：CVE-2024-37086、CVE-2024-37087）に関する更新情報を確認します。

詳細なガイダンスについては、CISAのアドバイザリおよびVMwareのパッチドキュメントを参照してください。

元記事：Sergiu GatlanによるBleepingComputerのレポート。